红帽全球峰会10.3. 证书续订有效期
集群 CA 和客户端 CA 证书仅在有限的时间段内有效,称为有效期。这通常定义为自生成证书起的天数。
对于 Cluster Operator 自动创建的 CA 证书,您可以配置以下有效期:
-
Cluster CA certificates in
Kafka.spec.clusterCa.validityDays -
Kafka.spec.clientsCa.validityDays中的客户端 CA 证书
两个证书的默认有效期周期为 365 天。手动安装的 CA 证书应该定义了自己的有效期。
当 CA 证书过期时,仍信任该证书的组件和客户端不接受来自由 CA 私钥签名的证书的对等的 TLS 连接。组件和客户端需要信任 新的 CA 证书。
要允许在缺少服务的情况下续订 CA 证书,Cluster Operator 会在旧 CA 证书过期前启动证书续订。
您可以配置 Cluster Operator 创建的证书的续订周期:
-
Kafka.spec.clusterCa.renewalDays中的集群 CA 证书 -
Kafka.spec.clientsCa.renewalDays中的客户端 CA 证书
两个证书的默认续订周期为 30 天。
从当前证书的过期日期后,后来测量续订周期。
针对续订的有效期
Not Before Not After
| |
|<--------------- validityDays --------------->|
<--- renewalDays --->|
Not Before Not After
| |
|<--------------- validityDays --------------->|
<--- renewalDays --->|
要在创建 Kafka 集群后更改有效期和续订周期,请配置并应用 Kafka 自定义资源,并 手动更新 CA 证书。如果您不手动续订证书,下一次证书被自动续订时将使用新的周期。
证书有效期和续订周期的 Kafka 配置示例
在续订期间,Cluster Operator 的行为取决于证书生成属性的设置,generateCertificateAuthority 和 generateCertificateAuthority。
true-
如果属性被设置为
true,Cluster Operator 会自动生成 CA 证书,并在续订周期内自动续订。 false-
如果属性设置为
false,Cluster Operator 不会生成 CA 证书。如果您要 安装自己的证书,则使用此选项。
10.3.1. 使用自动生成的 CA 证书的续订过程
Cluster Operator 执行以下操作以续订 CA 证书:
-
生成新的 CA 证书,但保留现有的密钥。新证书将旧证书替换为对应
Secret中的名称ca.crt。 - 生成新客户端证书(用于 ZooKeeper 节点、Kafka 代理和实体 Operator)。这并非绝对必要,因为签名密钥没有更改,但它会使客户端证书的有效性期与 CA 证书保持同步。
- 重启 ZooKeeper 节点,以便他们信任新的 CA 证书并使用新的客户端证书。
- 重启 Kafka 代理,以便它们信任新的 CA 证书并使用新的客户端证书。
- 重启主题和用户 Operator,以便他们信任新的 CA 证书并使用新的客户端证书。
10.3.2. 客户端证书续订
Cluster Operator 不知道使用 Kafka 集群的客户端应用程序。
当连接到集群时,并确保它们正常工作,客户端应用程序必须:
- 信任 <cluster> - cluster-ca-cert Secret 中发布的集群 CA 证书。
使用 < user-name> Secret 中发布的凭证来连接集群。
User Secret 以 PEM 和 PKCS #12 格式提供凭证,或使用 SCRAM-SHA 身份验证时提供密码。User Operator 在创建用户时创建用户凭证。
您必须确保客户端在证书续订后继续工作。续订过程取决于如何配置客户端。
如果要手动置备客户端证书和密钥,您必须生成新的客户端证书,并确保客户端在续订期间使用新证书。续订周期结束时未能执行此操作,可能会导致客户端应用程序无法连接到集群。
对于在同一 OpenShift 集群和命名空间中运行的工作负载,机密可以挂载为卷,以便客户端 Pod 从 Secret 的当前状态构建其密钥存储和信任存储。有关此步骤的详情,请参阅配置内部客户端以信任集群 CA。
10.3.3. 手动更新 Cluster Operator 生成的 CA 证书
Cluster Operator 生成的集群和客户端 CA 证书会在对应的证书续订期间开始自动续订。但是,您可以在证书续订周期开始前,使用 strimzi.io/force-renew 注解手动续订这些证书。出于安全考虑,或者您已 更改了证书的续订或有效期期,您可能会这样做。
续订的证书使用与旧证书相同的私钥。
如果您使用自己的 CA 证书,则无法使用 force-renew 注解。相反,请按照流程 更新您自己的 CA 证书。
先决条件
- Cluster Operator 正在运行。
- 安装 CA 证书和私钥的 Kafka 集群。
流程
将
strimzi.io/force-renew注解应用到包含您要续订的 CA 证书的Secret。Expand 表 10.13. 强制续订证书的 Secret 注解 证书 Secret annotate 命令 集群 CA
KAFKA-CLUSTER-NAME-cluster-ca-cert
oc annotate secret KAFKA-CLUSTER-NAME-cluster-ca-cert strimzi.io/force-renew=true客户端 CA
KAFKA-CLUSTER-NAME-clients-ca-cert
oc annotate secret KAFKA-CLUSTER-NAME-clients-ca-cert strimzi.io/force-renew=true在下一次协调时,Cluster Operator 会为您注解的
Secret生成新的 CA 证书。如果配置了维护时间窗口,Cluster Operator 会在下一次维护时间窗口首次协调时生成新的 CA 证书。客户端应用程序必须重新载入 Cluster Operator 续订的集群和客户端 CA 证书。
检查 CA 证书的期间:
例如,使用
openssl命令:oc get secret CA-CERTIFICATE-SECRET -o 'jsonpath={.data.CA-CERTIFICATE}' | base64 -d | openssl x509 -subject -issuer -startdate -enddate -nooutoc get secret CA-CERTIFICATE-SECRET -o 'jsonpath={.data.CA-CERTIFICATE}' | base64 -d | openssl x509 -subject -issuer -startdate -enddate -nooutCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA-CERTIFICATE-SECRET 是
Secret的名称,即KAFKA-CLUSTER-NAME-cluster-ca-cert,用于集群 CA 证书和KAFKA-CLUSTER-NAME-clients-ca-cert。CA-CERTIFICATE 是 CA 证书的名称,如
jsonpath={.data.ca\.crt}。该命令返回一个
notBefore和notAfter日期,这是 CA 证书的有效性周期。例如,对于集群 CA 证书:
subject=O = io.strimzi, CN = cluster-ca v0 issuer=O = io.strimzi, CN = cluster-ca v0 notBefore=Jun 30 09:43:54 2020 GMT notAfter=Jun 30 09:43:54 2021 GMT
subject=O = io.strimzi, CN = cluster-ca v0 issuer=O = io.strimzi, CN = cluster-ca v0 notBefore=Jun 30 09:43:54 2020 GMT notAfter=Jun 30 09:43:54 2021 GMTCopy to Clipboard Copied! Toggle word wrap Toggle overflow 从 Secret 中删除旧证书。
当组件使用新证书时,旧的证书可能仍在激活。删除旧的证书以移除任何潜在的安全风险。
10.3.4. 替换由 Cluster Operator 生成的 CA 证书使用的私钥
您可以替换由 Cluster Operator 生成的集群 CA 和客户端 CA 证书使用的私钥。当替换私钥时,Cluster Operator 会为新私钥生成新的 CA 证书。
如果您使用自己的 CA 证书,则无法使用 force-replace 注解。相反,请按照流程 更新您自己的 CA 证书。
先决条件
- Cluster Operator 正在运行。
- 安装 CA 证书和私钥的 Kafka 集群。
流程
将
strimzi.io/force-replace注解应用到包含您要续订的私钥的Secret。Expand 表 10.14. 替换私钥的命令 私钥: Secret annotate 命令 集群 CA
CLUSTER-NAME-cluster-ca
oc annotate secret CLUSTER-NAME-cluster-ca strimzi.io/force-replace=true客户端 CA
CLUSTER-NAME-clients-ca
oc annotate secret CLUSTER-NAME-clients-ca strimzi.io/force-replace=true
在下一次协调 Cluster Operator 时:
-
为您注解的
Secret生成新私钥 - 生成一个新的 CA 证书
如果配置了维护时间窗口,Cluster Operator 会在下一次维护时间窗口第一次协调时生成新的私钥和 CA 证书。
客户端应用程序必须重新载入 Cluster Operator 续订的集群和客户端 CA 证书。
10.3.5. 更新您自己的 CA 证书
此流程描述了如何更新您使用的 CA 证书而不是 Cluster Operator 生成的证书。
如果您没有更改对应的 CA 密钥,请执行以下步骤。否则,执行 替换您自己的 CA 证书所使用的私钥 的步骤。
如果您使用自己的证书,Cluster Operator 不会自动续订。因此,务必要在证书续订期间遵循这个步骤,以替换很快过期的 CA 证书。
该流程描述了 PEM 格式更新 CA 证书。
先决条件
- Cluster Operator 正在运行。
- 已安装自己的 CA 证书和私钥。
- 您有 PEM 格式的新集群或客户端 X.509 证书。
流程
更新 CA 证书的
Secret。编辑现有的 secret 以添加新 CA 证书并更新证书生成注解值。
oc edit secret <ca_certificate_secret_name>
oc edit secret <ca_certificate_secret_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow <ca_certificate_secret_name > 是
Secret的名称,这是集群 CA 证书的 <kafka_cluster_name> -cluster-ca-cert,以及客户端 CA 证书的 <kafka_cluster_name> -clients-ca-cert。以下示例显示了与名为
my-cluster的 Kafka 集群关联的集群 CA 证书的 secret。集群 CA 证书的 secret 配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将新 CA 证书编码为 base64。
cat <path_to_new_certificate> | base64
cat <path_to_new_certificate> | base64Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新 CA 证书。
将上一步中的 base64 编码的 CA 证书复制为
data下的ca.crt属性的值。增加 CA 证书生成注解的值。
使用更高的增量值更新
strimzi.io/ca-cert-generation注解。例如,将strimzi.io/ca-cert-generation=0更改为strimzi.io/ca-cert-generation=1。如果Secret缺少注解,则值将被视为0,因此添加带有值1的注解。当 AMQ Streams 生成证书时,Cluster Operator 会自动递增证书生成注解。要手动续订您自己的 CA 证书,请使用更高的增量值设置注解。该注解需要高于当前 secret 中的值,以便 Cluster Operator 可以部署 Pod 并更新证书。
strimzi.io/ca-cert-generation必须在每次 CA 证书续订时递增。使用新的 CA 证书和证书生成注解值保存 secret。
使用新 CA 证书更新的 secret 配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
在下一协调中,Cluster Operator 执行 ZooKeeper、Kafka 和其他组件的滚动更新,以信任新的 CA 证书。
如果配置了维护时间窗口,Cluster Operator 会在下一次维护时间窗口中第一次协调时部署 pod。
10.3.6. 替换您自己的 CA 证书使用的私钥
此流程描述了如何更新您使用的 CA 证书和私钥,而不是由 Cluster Operator 生成的证书和密钥。
当您还要更改对应的 CA 密钥时,执行此步骤中的步骤。否则,请执行以下步骤以 续订您自己的 CA 证书。
如果您使用自己的证书,Cluster Operator 不会自动续订。因此,务必要在证书续订期间遵循这个步骤,以替换很快过期的 CA 证书。
该流程描述了 PEM 格式更新 CA 证书。
在执行以下步骤前,请确保新 CA 证书的 CN (Common Name)与当前证书不同。例如,当 Cluster Operator 自动续订证书时,它会添加一个 v<version_number& gt; 后缀来标识版本。在每个续订中添加不同的后缀,对您自己的 CA 证书执行相同的操作。通过使用不同的密钥来生成新的 CA 证书,您可以保留 Secret 中存储的当前 CA 证书。
先决条件
- Cluster Operator 正在运行。
- 已安装自己的 CA 证书和私钥。
- 您有 PEM 格式的新集群或客户端 X.509 证书和密钥。
流程
暂停
Kafka自定义资源的协调。在 OpenShift 中注解自定义资源,将
pause-reconation 注解设置为true:oc annotate Kafka <name_of_custom_resource> strimzi.io/pause-reconciliation="true"
oc annotate Kafka <name_of_custom_resource> strimzi.io/pause-reconciliation="true"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 例如,对于名为
my-cluster的Kafka自定义资源:oc annotate Kafka my-cluster strimzi.io/pause-reconciliation="true"
oc annotate Kafka my-cluster strimzi.io/pause-reconciliation="true"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查自定义资源的状态条件是否显示 Reconliation
Paused的更改:oc describe Kafka <name_of_custom_resource>
oc describe Kafka <name_of_custom_resource>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 类型条件会改变在lastTransitionTime中用于 ReconliationPaused。
更新 CA 证书的
Secret。编辑现有的 secret 以添加新 CA 证书并更新证书生成注解值。
oc edit secret <ca_certificate_secret_name>
oc edit secret <ca_certificate_secret_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow <ca_certificate_secret_name > 是
Secret的名称,它是KAFKA-CLUSTER-NAME-cluster-ca-cert,用于集群 CA 证书和KAFKA-CLUSTER-NAME-clients-ca-cert。以下示例显示了与名为
my-cluster的 Kafka 集群关联的集群 CA 证书的 secret。集群 CA 证书的 secret 配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重命名当前 CA 证书以保留它。
将
data下的ca.crt属性重命名为ca- <date> .crt,其中 & lt;date > 是证书过期日期,格式为 YEAR-MONTH-DAYTHOUR-MINUTE-SECONDZ。例如,ca-2022-01-26T17-32-00Z.crt:保留 属性的值,因为它要保留当前的 CA 证书。将新 CA 证书编码为 base64。
cat <path_to_new_certificate> | base64
cat <path_to_new_certificate> | base64Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新 CA 证书。
在
data下创建一个新的ca.crt属性,并将上一步中的 base64 编码的 CA 证书复制为ca.crt属性的值。增加 CA 证书生成注解的值。
使用更高的增量值更新
strimzi.io/ca-cert-generation注解。例如,将strimzi.io/ca-cert-generation=0更改为strimzi.io/ca-cert-generation=1。如果Secret缺少注解,则值将被视为0,因此添加带有值1的注解。当 AMQ Streams 生成证书时,Cluster Operator 会自动递增证书生成注解。要手动续订您自己的 CA 证书,请使用更高的增量值设置注解。该注解需要高于当前 secret 中的值,以便 Cluster Operator 可以部署 Pod 并更新证书。
strimzi.io/ca-cert-generation必须在每次 CA 证书续订时递增。使用新的 CA 证书和证书生成注解值保存 secret。
使用新 CA 证书更新的 secret 配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
更新用于为新 CA 证书签名的 CA 密钥的
Secret。编辑现有 secret 以添加新 CA 密钥并更新密钥生成注解值。
oc edit secret <ca_key_name>
oc edit secret <ca_key_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow <ca_key_name > 是 CA 键的名称,它是集群 CA 键的 <
kafka_cluster_name> -cluster-ca,客户端 CA 键的 <kafka_cluster_name> -clients-ca。以下示例显示了与名为
my-cluster的 Kafka 集群关联的集群 CA 密钥的 secret。集群 CA 密钥的 secret 配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 CA 密钥编码为 base64。
cat <path_to_new_key> | base64
cat <path_to_new_key> | base64Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新 CA 密钥。
将上一步中的 base64 编码的 CA 密钥复制为
data下的ca.key属性的值。增加 CA 密钥生成注解的值。
使用更高的增量值更新
strimzi.io/ca-key-generation注解。例如,将strimzi.io/ca-key-generation=0更改为strimzi.io/ca-key-generation=1。如果Secret缺少注解,它将被视为0,因此添加带有值1的注解。当 AMQ Streams 生成证书时,Cluster Operator 会自动递增密钥生成注解。要手动将自己的 CA 证书与新的 CA 密钥续订,请使用更高的增量值设置注解。该注解需要高于当前 secret 中的值,以便 Cluster Operator 可以部署 Pod 并更新证书和密钥。
strimzi.io/ca-key-generation必须在每次 CA 证书续订时递增。
使用新的 CA 密钥和密钥生成注解值保存 secret。
使用新的 CA 密钥更新 secret 配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 从暂停中恢复。
要恢复
Kafka自定义资源协调,请将pause-reconation注解设置为false。oc annotate --overwrite Kafka <name_of_custom_resource> strimzi.io/pause-reconciliation="false"
oc annotate --overwrite Kafka <name_of_custom_resource> strimzi.io/pause-reconciliation="false"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 您还可以通过删除
pause-reconciliation注解来执行此操作。oc annotate Kafka <name_of_custom_resource> strimzi.io/pause-reconciliation-
oc annotate Kafka <name_of_custom_resource> strimzi.io/pause-reconciliation-Copy to Clipboard Copied! Toggle word wrap Toggle overflow
在下一协调中,Cluster Operator 执行 ZooKeeper、Kafka 和其他组件的滚动更新,以信任新的 CA 证书。滚动更新完成后,Cluster Operator 将启动一个新服务器证书,以生成由新 CA 密钥签名的新服务器证书。
如果配置了维护时间窗口,Cluster Operator 会在下一次维护时间窗口中第一次协调时部署 pod。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}